Regularien

Anpassung oder Risiko: Führungskräfte sollten sich an die regulatorische Rechenschaftspflicht anpassen

, Veeam

Anpassung oder Risiko: Führungskräfte sollten sich an die regulatorische Rechenschaftspflicht anpassen

Von Rick Vanover, Vice President of Product Strategy, Veeam

Lange Zeit haben Unternehmen die Verantwortung für Datenresilienz und Cyber Security ausschließlich den Sicherheits- und IT-Teams überlassen, nach dem Motto „Das machen die Experten“. Diese Herangehensweise hat jahrelang gut funktioniert. Doch da Unternehmen zunehmend von Technologie abhängig sind und Sicherheitsvorfälle immer wahrscheinlicher werden, ist Cybersicherheit heute ein Thema, das alle Abteilungen und die gesamte Belegschaft betrifft.

Rick Vanover, Vice President of Product Strategy, Veeam

Die jüngsten regulatorischen Anforderungen (wie NIS2 und DORA) verdeutlichen dies und verankern die Verantwortlichkeit der Unternehmen in gesetzlichen Bestimmungen. Nun ist nicht nur der CISO, sondern die gesamte Führungsebene im Falle eines Verstoßes haftbar. Sie ist direkt dafür verantwortlich, Cybersecurity-Maßnahmen zu managen und ihre Mitarbeiter entsprechend zu schulen – bei Nichteinhaltung drohen Strafen.

Führungskräfte erkennen zunehmend, dass es riskant ist, einfach darauf zu vertrauen, dass ihre Sicherheitsteams und externen Partner alles unter Kontrolle haben. Sicherheitslücken oder unzureichende Unterstützung der Transformation hin zu einer resilienteren Dateninfrastruktur gefährden nicht nur die Unternehmenssicherheit, sondern auch den Ruf der Führungsebene. Der Ball liegt nun bei den Führungskräften – sie müssen sich proaktiv mit den Sicherheitsprozessen auseinandersetzen.

Die Führungsetage im Fokus: Vom Beobachter zum Entscheider

Es ist unrealistisch zu erwarten, dass alle Führungskräfte Experten für Cybersicherheit sind. Viele werden sich nun erstmals mit Plänen zur Datenresilienz und Incident-Response befassen und diese hinterfragen. Angesichts wachsender Cyberbedrohungen und strengerer Vorschriften müssen sie jedoch nicht nur akzeptieren, dass Sicherheitsvorfälle unvermeidlich sind, sondern auch proaktive Schritte unternehmen, um ihre Verteidigung zu verstärken und gesetzliche Anforderungen zu erfüllen.

Die C-Suite ist nun für die Sicherheitsstrategie, das Risikomanagement und die Risikominderung verantwortlich und muss zudem Maßnahmen zur Meldung von Vorfällen umsetzen. Führungskräfte, die gegen diese Vorschriften verstoßen, riskieren persönliche Haftung und Geldstrafen von bis zu 7 Millionen Euro oder 1,4 % des Jahresumsatzes – je nachdem, welcher Betrag höher ist.

Die konkreten Konsequenzen im Detail

  • Persönliche Haftung: Nicht nur der CISO steht im Fokus
  • Finanzielle Risiken: Strafen bis zu 7 Millionen Euro oder 1,4 % des Jahresumsatzes
  • Umfassende Verantwortung: Jedes Vorstandsmitglied muss Cybersicherheit aktiv verstehen und steuern

Der Druck ist hoch: Die Führungsebene muss sicherstellen, dass die Widerstandsfähigkeit der Organisation und ihre Fähigkeit, auf Vorfälle zu reagieren, gewährleistet sind. Dies erfordert Investitionen in Sicherheit, Schulungen und die konsequente Umsetzung der Rechenschaftspflicht innerhalb des Unternehmens.

Rechenschaftspflicht als Schlüssel

Vorschriften wie NIS2 setzen die Führungsebene als Entscheidungsträger in die Pflicht und stellen sicher, dass diese dafür sorgen, dass alle Mitarbeiter ihre Verantwortung wahrnehmen. Es reicht nicht mehr aus, auf externe Partner und Dienstleister zu vertrauen – auch diese müssen in die Verantwortung genommen werden.

Drittanbieter auf dem Prüfstand

Laut einer Umfrage von EY zum Risikomanagement von Drittanbietern planen 44 % der Unternehmen, in den nächsten fünf Jahren verstärkt mit Drittanbietern zusammenzuarbeiten. Dieser Trend führt dazu, dass Führungskräfte die Maßnahmen ihrer Partner zur Datenresilienz und Incident-Response verstärkt überprüfen werden. Was früher durch Verträge oder Zertifizierungen abgesichert war, wird nun durch intensivere Prüfungen ersetzt.

Führungskräfte werden zunehmend darauf dringen, dass Drittanbieter vollständige Transparenz bieten, um Schwachstellen im Prozess schnell zu identifizieren und gegen mögliche Verstöße vorzugehen.

Der Sprung ins kalte Wasser

Die Umsetzung dieser Maßnahmen wird die Datenresilienz verbessern, doch das Risiko eines Verstoßes lässt sich nie ganz eliminieren. Doch Vorschriften wie NIS2 und DORA verlangen auch nicht, dass alle Risiken verschwinden, sondern dass so viele wie möglich minimiert werden und Unternehmen im Ernstfall vorbereitet sind.

Selbst mit allen präventiven Maßnahmen bleibt eines entscheidend: Tests. Sie sind der wichtigste Schritt zur Verbesserung der Widerstandsfähigkeit. Führungskräfte sollten nicht nur den Status quo überprüfen, sondern ihre Sicherheitsstrategie auch unter realistischen, herausfordernden Bedingungen testen – und das regelmäßig.

Es geht darum, weit über hypothetische Szenarien hinauszugehen. Man lernt nicht schwimmen, indem man nur darüber liest. Der einzige Weg zu lernen, ist es, es zu versuchen – und das idealerweise mit der nötigen Vorbereitung.